ESET-onder­zoe­kers hebben hun onder­zoek gepubli­ceerd naar één van de meest geavan­ceerde server-side malware campagnes, die nog steeds groeit en honderd­dui­zenden gecom­pro­mit­teerde servers heeft gezien in de minstens 15 jaar durende operatie. De beruchte Ebury-groep en het botnet hebben zich door de jaren heen onder andere bezig­ge­houden met het verspreiden van spam, het omleiden van webver­keer en het stelen van referen­ties. In de afgelopen jaren heeft het zich uitge­breid naar diefstal van credit­cards en crypto­cur­r­ency. Daarnaast is Ebury ingezet als achter­deur om bijna 400.000 Linux, FreeBSD en OpenBSD servers te compro­mit­teren; meer dan 100.000 waren eind 2023 nog steeds gecom­pro­mit­teerd. In veel gevallen waren de beheer­ders van Ebury in staat om volle­dige toegang te krijgen tot grote servers van ISP’s en bekende hostingproviders. 

Tien jaar geleden publi­ceerde ESET een white­paper over Opera­tion Windigo, die gebruik maakt van meerdere malwa­re­fa­mi­lies die in combi­natie werken, met de Ebury-malwa­re­fa­milie als middel­punt. Eind 2021 nam de Neder­landse National High Tech Crime Unit (NHTCU), onder­deel van de Neder­landse natio­nale politie, contact op met ESET met betrek­king tot servers in Neder­land die verdacht werden gecom­pro­mit­teerd te zijn met Ebury malware. Die vermoe­dens bleken gegrond en met de hulp van NHTCU heeft ESET Research aanzien­lijk zicht gekregen op opera­ties die worden uitge­voerd door de Ebury-aanvallers. 

“Na de publi­catie van de Windigo-paper begin 2014 werd één van de daders in 2015 aan de Fins-Russi­sche grens gearres­teerd en later uitge­le­verd aan de Verenigde Staten. Hoewel hij aanvan­ke­lijk beweerde onschuldig te zijn, bekende hij uitein­de­lijk schuld aan de beschul­di­gingen in 2017, een paar weken voordat zijn rechts­zaak in het Ameri­kaanse District Court in Minne­a­polis zou beginnen en waar ESET-onder­zoe­kers zouden getuigen,” zegt Marc-Etienne M. Léveillé, de ESET-onder­zoeker die Ebury meer dan tien jaar onderzocht. 

Ebury is actief sinds 2009, het is een OpenSSH backdoor en een creden­tial stealer. Het wordt gebruikt om aanvul­lende malware in te zetten om: het botnet te verzil­veren (zoals modules voor het omleiden van webver­keer), proxy-verkeer voor spam, adversary-in-the-middle-aanvallen (AitM) uit te voeren en onder­steu­nende kwaad­aar­dige infra­struc­tuur te hosten. Bij AitM-aanvallen heeft ESET tussen februari 2022 en mei 2023 meer dan 200 doelwitten waarge­nomen op meer dan 75 netwerken in 34 verschil­lende landen. 

De exploi­tanten hebben het Ebury-botnet gebruikt om crypto­cur­r­ency-porte­feuilles, referen­ties en credit­card­ge­ge­vens te stelen. ESET heeft nieuwe malwa­re­fa­mi­lies ontdekt die door de APT-groep zijn gemaakt en ingezet voor finan­cieel gewin, waaronder Apache-modules en een kernel­mo­dule om webver­keer om te leiden. De beheer­ders van Ebury gebruikten ook zero-day kwets­baar­heden in beheer­soft­ware om servers in bulk aan te vallen. 

Nadat een systeem is gecom­pro­mit­teerd, worden een aantal gegevens geëxfil­treerd. Met de bekende wacht­woorden en inlog­ge­ge­vens die op dat systeem zijn verkregen, wordt gepro­beerd in te loggen op verwante systemen. Elke nieuwe grote versie van Ebury intro­du­ceert een aantal belang­rijke veran­de­ringen, nieuwe functies en verduistertechnieken.

“We hebben gevallen gedocu­men­teerd waarbij de infra­struc­tuur van hosting­pro­vi­ders werd gecom­pro­mit­teerd door Ebury. In deze gevallen hebben we gezien dat Ebury werd ingezet op servers die door deze provi­ders werden verhuurd, zonder waarschu­wing aan de huurders. Dit resul­teerde in gevallen waarin de Ebury-actoren in staat waren om duizenden servers tegelijk aan te vallen,” zegt Léveillé.

Ebury kent geen geogra­fi­sche grenzen; er zijn servers met Ebury gecom­pro­mit­teerd in bijna alle landen ter wereld. Wanneer een hosting­pro­vider werd gecom­pro­mit­teerd, leidde dit tot een groot aantal gecom­pro­mit­teerde servers in dezelfde datacenters. 

Tegelij­ker­tijd lijkt geen enkele sector meer doelwit dan andere. Slacht­of­fers zijn onder andere univer­si­teiten, kleine en grote onder­ne­mingen, internet service provi­ders, crypto­cur­r­ency hande­laren, Tor exit nodes, shared hosting provi­ders en dedicated server provi­ders, om er een paar te noemen. 

Eind 2019 werd de infra­struc­tuur van een grote en populaire Ameri­kaanse domein­re­gi­streerder en webhos­ting­pro­vider gecom­pro­mit­teerd. In totaal werden ongeveer 2.500 fysieke en 60.000 virtuele servers gecom­pro­mit­teerd door de aanval­lers. Een zeer groot deel, zo niet alle, van deze servers wordt gedeeld door meerdere gebrui­kers om de websites van meer dan 1,5 miljoen accounts te hosten. Bij een ander incident werden in 2023 in totaal 70.000 servers van die hosting­pro­vider gecom­pro­mit­teerd door Ebury. Kernel​.org, dat de broncode van de Linux kernel host, was ook slacht­offer van Ebury.

“Ebury vormt een serieuze dreiging en een uitda­ging voor de Linux securi­ty­com­mu­nity. Er is geen eenvou­dige oplos­sing die Ebury ineffec­tief zou maken, maar een handvol mitiga­ties kunnen worden toege­past om de versprei­ding en impact te minima­li­seren. Eén ding om te beseffen is dat het niet alleen gebeurt bij organi­sa­ties of indivi­duen die minder om bevei­li­ging geven. Veel zeer technisch onder­legde indivi­duen en grote organi­sa­ties behoren tot de lijst van slacht­of­fers,” conclu­deert Léveillé. 

Lees de volle­dige white­paper “Ebury is alive but unseen: 400k Linux servers compro­mised for crypto­cur­r­ency theft and finan­cial gain” voor meer techni­sche infor­matie en een set tools en indica­toren om systeem­be­heer­ders te helpen bepalen of hun systemen gecom­pro­mit­teerd zijn door Ebury. Volg ESET Research op Twitter (tegen­woordig bekend als X) voor het laatste nieuws van ESET Research.